TCPF Packet Data
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
TCPF 包数据分析
最后修改:2003 年10 月24 日
说明:
本文档说明的是解密以后的TCPF数据包的字段内容。有关如何解密,请参阅有关的其它文档。分析的结果,是基于QQ 2003 (0808) 内部代码0A 1D的版本。
0x0022,登录命令
发送方:客户端
样本:
000: 4A 35 5D 6E AE DB FA 9C
008: 96 BE 19 7E A3 E2 B2 48
016: 00 00 00 00 00 00 00 00
024: 00 00 00 00 00 00 00 00
032: 00 00 00 3A 30 9B 69 60
040: A8 32 73 B2 22 1F AA 65
048: 6C 09 F8 01 0A 3A 0D 30
056: 92 CD 77 AB 42 B9 BC 64
064: 9F 17 57 D4 C3
000 - 015: 用户QQ密码的MD5 的MD5 作为密钥,对空字串进行加密的结果。0A 1D版的TEA算法采取了随机PADDING的方式,所以这个数字每次看起来都不同。但是解密以后总是空字符串。
016 - 016: 总是0x00。
017 - 020: 以前为IP地址,现在为全零。不知道具有互联网IP的机器是否有真正的地址。021 - 022: 以前为端口号,现在为全零。
023 - 051: 不明含义,总是相同。
052 - 052: 登录模式。0A为正常方式,28为隐身。
053 - 068: 应该是和机器相关的识别号,在相同的机器上总是相同。
响应方:服务器
成功登录的样本:
000: 00 61 42 58 45 55 6B 58
008: 7A 42 57 36 78 6E 49 41
016: 59 01 82 5D 90 40 E7 A7
024: E3 0F A0 7F 00 00 01 1F
032: 40 3F 51 22 DA 03 0A 5B
040: 83 50 D2 91 55 AE FC 3A
048: 5B D4 E9 31 97 C5 85 13
056: 64 6B 30 0A CE F1 33 3D
064: 8D C2 CF 1F 40 3D AC F9
072: 8E 1F 40 00 00 1C BB 67
080: 00 CB 49 E6 FF B6 FB 01
088: 97 41 6E 96 30 48 76 48
096: EF B8 1D 1E 5A EA EB E9
104: AB 00 4A 23 D2 00 00 00
112: 00 00 00 00 00 00 00 00
120: 00 40 E7 A7 E3 3F 51 22
128: 91 00 00 00 00 00 00 00
136: 00
000 - 000: 成功登录应该为0。
001 - 016: 以后通信的密钥。
017 - 020: 登录的QQ号码。
021 - 026: 服务器检测到的客户端的IP地址和端口号。
027 - 032: 127.0.0.1:8000,应该是服务器检测到自己的IP和端口号?作用不明。033 - 036: 本次登录时间?
......
063 - 068: 一个端口为8000的IP地址,作用不明。
069 - 074: 一个端口为8000的IP地址,这个地址就是DTPF协议组通讯的服务器。075 - 076: 总是0,应该为分隔。
......
109 - 120: 总是0。
121 - 124: 客户端的IP。(上次登录的IP?)
125 - 128: 上次登录退出时间?
...
129 - 136: 总是0。
其它:未知。
密码错误的样本(用Random Key解密):
000: 02 C3 DC C2 EB B4 ED CE
008: F3 A3 A1
000 - 000: 密码错误: 02。
001 - 010: 字符串“密码错误!”,GB18030 编码
要求转到其它服务器登录(未观察到,根据perl-OICQ的资料):000 - 000: 转到新服务器:01。
001 - 004: 请求的QQ号。
005 - 008: 新的服务器IP。
009 - 010: 新的服务器端口号。
0x0001,注销命令:
发送方:客户端(连续发送4次)
样本:
000: 42 80 D8 9A 5A 03 F8 12
008: 75 1F 50 4C C1 0E E8 A5
000 - 015: QQ密码的MD5 的MD5。
0x001D,未知命令:
发送方:客户端,在登录成功后发送。而且总是连发两个。
第一个样本:
000: 03
000 - 000 :总是03,应该是子命令。
第二个样本:
000: 04
000 - 000 :总是04,应该是子命令。
响应方:服务器(定长的响应)
第一个响应样本:
000: 03 00 52 65 76 65 6D 6D
008: 41 35 65 52 54 64 4E 36
016: 64 4B 00 00 00 00 00 00
024: 00 00 00 00 00 00 38 3D
032: 1E 4A 4E 36 53 87 8E B5
040: E0 24 5C 97 80 8C 64 23
048: F4 FF BC 42 69 72 39 1D
056: F6 31 22 65 37 BE 00 D1
064: 8E A6 F8 4C 75 82 F7 B4
072: 49 1F FF 72 3E 26 01 13
080: 1B 18 F6 5A BD 8E 58 00
088: 01 00 00
000 - 000: 03,应该表明是对03号子命令的响应。001 - 001: 00,应该是分隔。
002 - 017: 16个字符,全由字母和数字组成。018 - 029: 全0。
030 - 030: 总是38,应该是后面数据的长度。...
087 - 090: 总是00 01 00 00。
第二个响应样本:
000: 04 00 43 44 7A 7A 38 63